Trojan-Spy.Win32.WMPatch

Detalles técnicos

Trojan.WebMoney.Wmpatch es un programa troyano que consta de dos archivos ejecutables Win32 PE: DBOLE.EXE y SICKBOY.EXE. Estos archivos son descargados por el troyano TrojanDownloader.Win32.Small.n. El 5 de marzo de 2003 se detectó un envío masivo de este troyano. El texto del mensaje aparece de la siguiente manera:

De: tarjetas de felicitación [greeting_cards@yahoo.com]
Enviado: 5 de marzo de 2003 8:20 (el texto actual en esta línea está en ruso)
Para: Ivan Petrov
Asunto: ¡Has recibido una tarjeta! (el texto real en esta línea está en ruso)

(Aquí se ve el texto en ruso análogo al texto en inglés justo debajo). 

¡Hola! 

¡Tienes una postal! 
Para ver esta postal, haga clic en el enlace: http://www.yahoo-greeting-cards.com/*************/viewcard_680fe23d52.asp.scr 

Podrá verlo en cualquier momento dentro de los próximos 60 días. 

____________________________________________________ 
Postales favoritas en http://www.yahoo-greeting-cards.com 
 

Archivo – DBOLE.EXE
Este archivo está comprimido con la utilidad PE-Pack. Su tamaño comprimido es de 32.768 bytes y está escrito en el lenguaje de programación C. Una vez que se lanza el troyano, comprueba la presencia del programa WebMoney. Para ello, busca el archivo WMClient.dll en la carpeta de programas e inserta en él un nuevo código. El nuevo código crea dos archivos:

c: wmkey.bin
c: wmmem.bin

El programa crea un archivo de informe con el nombre:

c: wmlog.bin

A continuación, el troyano se instala en la clave de ejecución automática del registro de Windows.

Las siguientes cadenas están contenidas dentro del archivo:

kernel32.dll rock el bloque c: wmkey.bin c: wmmem.bin 
CreateFileA WriteFile CloseHandle lstrlen CopyFileA 
DatabaseOLE falso SoftwareMicrosoftWindowsCurrentVersionRun 
Línea de comando: '% s' - Error en la asignación de memoria + Apagado
- Versión de archivo incorrecta - Error de escritura de archivo + Archivo escrito + Preparar parche  
+ Punto de entrada en% d (% x) + Parche en% d (% x) + Lectura correcta,% d bytes leídos - Error al leer el archivo
+ Asignación de memoria ok Tamaño de archivo:% d bytes + Abrir archivo ok - WM no instalado 
- Error al abrir el archivo Patching:% s 
+ Obtener ruta correcta% s + Iniciar WMClient.dll SoftwareWebmoneyPath% s
c: wmlog.bin

Archivo – SICKBOY.EXE
Este archivo está comprimido con la utilidad PE-Pack, su tamaño comprimido es de 28.672 bytes y está escrito en el lenguaje de programación C. Tras su lanzamiento, este archivo permanece en la memoria de la computadora de la víctima y envía los siguientes archivos por correo electrónico:

 "c: wmlog.bin", "c: wmmem.bin", "c: wmkey.bin" 

Ellos son enviados a la dirección:

sickboy@centrum.cz

Por lo tanto, este programa se puede conectar al servidor SMTP y para formar un texto de correo electrónico convierte los archivos binarios en formato de texto.

El archivo contiene las siguientes cadenas:

xfm1.txt RegisterServiceProcess kernel32.dll 
c: wmkey.bin c: wmmem.bin c: wmlog.bin WebMoney Keeper QUIT
Asignaturas
DATOS
RCPT A: 
CORREO DE: 
HELO localhost
62.84.131.172 SOFTWAREWebmoneyOptions archivo no encontrado Nombre de archivo texto sin formato:% s
% .2x Nombre de archivo bin:% s